Aide en ligne d'ESET

Recherche Français canadien
Sélectionnez la catégorie
Sélectionnez le sujet

Événements exportés au format CEF

Pour filtrer les journaux d’événements envoyés à Syslog, créez une notification de catégorie de journal avec un filtre défini.

CEF est un format de journal en mode texte développé par ArcSight™. Le format CEF comprend un entête CEF et une extension CEF. L'extension contient une liste de paires clé-valeur.

Entête CEF

En-tête

Exemple

Description

Device Vendor

ESET

 

Device Product

Protect

 

Device Version

10.0.5.1

ESET PROTECT version

Device Event Class ID (Signature ID):

109

Identificateur unique de la catégorie d’événements du périphérique :

100 à 199 Événement de menace

200 à 299 Événement de pare-feu

300–399 HIPS événement

400–499 événement d'audit

500–599 ESET Inspect événement

600 à 699 Événement de fichiers bloqués

700 à 799 Événement de sites Web filtrés

Event Name

Detected port scanning attack

Brève description de ce qui ce qui a produit l’événement

Severity

5

Gravité 0–10

Extensions CEF communes à toutes les catégories

Nom de l’extension

Exemple

Description

cat

ESET Threat Event

Catégorie d’événements :

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

Adresse IPv4 de l'ordinateur générant l'événement.

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Adresse IPv6 de l'ordinateur générant l'événement.

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

Nom d'hôte de l'ordinateur générant l'événement

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

UUID de l'ordinateur générant l'événement.

flexString1

Lost & Found

Le nom du groupe de l'ordinateur qui génère l'événement

flexString1Label

Device Group Name

 

rt

Jun 04 2017 14:10:0

Heure UTC d'occurrence de l'événement. Le format est %b %d %Y %H:%M:%S

Extensions CEF par catégorie d’événement

Événements de menace

Nom de l’extension

Exemple

Description

cs1

W97M/Kojer.A

Nom de la menace trouvée

cs1Label

Threat Name

 

cs2

25898 (20220909)

Version du moteur de détection

cs2Label

Engine Version

 

cs3

Virus

Type de détection

cs3Label

Threat Type

 

cs4

Real-time

file system protection

ID d'analyseur

cs4Label

Scanner ID

 

cs5

virlog.dat

ID d'analyse

cs5Label

Scan ID

 

cs6

Failed to remove file

Message d'erreur en cas d'échec de « l'action »

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

Brève description de la cause de l'événement

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

Hachage SHA1 du flux de données (de détection).

cs8Label

Hash

 

act

Cleaned by deleting file

L’action a été prise par le terminal

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

Objet URI

fileType

File

Type d’objet lié à l’événement

cn1

1

La détection a été gérée (1) ou n’a pas été gérée (0)

cn1Label

Handled

 

cn2

0

Un redémarrage est nécessaire (1) ou n’est pas nécessaire (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

Nom du compte utilisateur associé à l'événement

sprod

C:\\7-Zip\\7z.exe

Nom du processus à l’origine de l’événement

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Heure et date auxquelles la détection s'est produite pour la première fois sur l’ordinateur. Le format est %b %d %Y %H:%M:%S

arrow_down_business Exemple de journal CEF des événements de menace :

Événements de pare-feu

Nom de l’extension

Exemple

Description

msg

TCP Port Scanning attack

Nom de l'événement

src

127.0.0.1

Adresse IPv4 source de l’événement

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Adresse IPv6 source de l’événement

c6a2Label

Source IPv6 Address

 

spt

36324

Port de la source de l'événement

dst

127.0.0.2

Adresse IPv4 de destination de l’événement

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Adresse IPv6 de destination de l’événement

c6a3Label

Destination IPv6 Address

 

dpt

24

Port de destination de l’événement

proto

http

Protocole

act

Blocked

Action entreprise

cn1

1

La détection a été gérée (1) ou n’a pas été gérée (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

Nom du compte utilisateur associé à l'événement

deviceProcessName

someApp.exe

Nom du processus associé à l'événement

deviceDirection

1

La connexion était entrante (0) ou sortante (1)

cnt

3

Nombre de messages identiques générés par le terminal entre deux réplications consécutives entre ESET PROTECT et l’agent ESET Management

cs1

 

ID de règle

cs1Label

Rule ID

 

cs2

custom_rule_12

Nom de la règle

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

Nom de la menace

cs3Label

Threat Name

 

arrow_down_business Exemple du journal CEF des événements du pare-feu :

HIPS événements

Nom de l’extension

Exemple

Description

cs1

Suspicious attempt to launch an application

ID de règle

cs1Label

Rule ID

 

cs2

custom_rule_12

Nom de la règle

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

Nom de l’application

cs3Label

Application

 

cs4

Attempt to run a suspicious object

Opération

cs4Label

Operation

 

cs5

C:\\somevirus.exe

Cible

cs5Label

Target

 

act

Blocked

Action entreprise

cs2

custom_rule_12

Nom de la règle

cn1

1

La détection a été gérée (1) ou n’a pas été gérée (0)

cn1Label

Handled

 

cnt

3

Nombre de messages identiques générés par le terminal entre deux réplications consécutives entre ESET PROTECT et l’agent ESET Management

arrow_down_business Exemple de journal CEF des événements HIPS :

Événements d'audit

Nom de l’extension

Exemple

Description

act

Login attempt

Action en cours

suser

Administrator

Utilisateur de sécurité impliqué

duser

Administrator

Utilisateur de sécurité ciblé (pour les tentatives de connexion, par exemple)

msg

Authenticating native user 'Administrator'

Description détaillée de l'action

cs1

Native user

Domaine du journal d'audit

cs1Label

Audit Domain

 

cs2

Success

Résultat de l’action

cs2Label

Result

 

arrow_down_business Exemple de journal CEF des événements d’audit :

ESET Inspect événements

Nom de l’extension

Exemple

Description

deviceProcessName

c:\\imagepath_bin.exe

Nom du processus à l'origine de cette alarme

suser

HP\\home

Propriétaire du processus

cs2

custom_rule_12

Nom de la règle déclenchant cette alarme

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hachage SHA1 de l’alarme

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

Lien vers l’alarme dans ESET Inspect Web Console

cs4Label

EI Console Link

 

cs5

126

Sous-partie ID du lien d'alarme ($1 dans ^http.*/alarm/([0-9]+)$)

cs5Label

EI Alarm ID

 

cn1

275

Score de gravité pour l’ordinateur

cn1Label

ComputerSeverityScore

 

cn2

60

Score de sévérité de la règle

cn2Label

SeverityScore

 

cnt

3

Nombre d’alertes du même type générées depuis la dernière alarme

arrow_down_business Exemple de journal CEF des événements ESET Inspect :

Événements de fichiers bloqués

Nom de l’extension

Exemple

Description

act

Execution blocked

Action entreprise

cn1

1

La détection a été gérée (1) ou n’a pas été gérée (0)

cn1Label

Handled

 

suser

HP\\home

Nom du compte utilisateur associé à l'événement

deviceProcessName

C:\\Windows\\explorer.exe

Nom du processus associé à l'événement

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

Hachage SHA1 du fichier bloqué

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

Objet URI

msg

ESET Inspect

Description du fichier bloqué

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

Heure et date auxquelles la détection s'est produite pour la première fois sur l’ordinateur. Le format est %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

Raison

cs2Label

Cause

 

arrow_down_business Exemple de journal CEF des fichiers bloqués :

Événements de site Web filtrés

Nom de l’extension

Exemple

Description

msg

An attempt to connect to URL

Type de l'événement

act

Blocked

Action entreprise

cn1

1

La détection a été gérée (1) ou n’a pas été gérée (0)

cn1Label

Handled

 

suser

Peter

Nom du compte utilisateur associé à l'événement

deviceProcessName

Firefox

Nom du processus associé à l'événement

cs1

Blocked by PUA blacklist

ID de règle

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

URL de demande bloquée

dst

172.17.9.224

Adresse IPv4 de destination de l’événement

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

Adresse IPv6 de destination de l’événement

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

ID d'analyseur

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

Hachage SHA1 de l'objet filtré

cs3Label

Hash

 

arrow_down_business Exemple de journal CEF des événements de site Web filtré :